Alex
感谢老师,跟着重新梳理了一遍OAuth2.0的知识体系。学习要坚持,复利的效果十分惊人。
作者回复:感谢支持,一起进步
2020-08-04
jiangb
感谢老师,对OAuth2.0的知识体系有了深入的了解,下一步要实践SpringSecurity OAuth2,应用在公司产品上。
2022-02-11
陶乐乐
很认同老师的观点,一个就是学习的三个阶段:由基础的理论学习--》针对问题的思考学习---》全面系统的认知的过程。另外一个重点便是:一定得想办法输出,很多学习如果仅仅是看,因为没有自己的思考加工,很容易就会忘记。总结并形成图形,文字是很重要的过程学习
2022-04-15
在路上
感谢老师的精彩讲解,现在每次授权登录时,都想到老师讲些的后台流程。
作者回复:多谢 ^_^
2020-08-04
4
Geek_883762
当老师说再见的时候,我哭了。
作者回复:我被感动到了,我会尽最大努力回复好每一位同学的留言。
2020-08-04
6
Adong0678
当把具象的事物能用自己简短语言总结概括出来,说明真正理解,掌握了。具体的事物会被更迭,但思想永远闪闪发光!传授知识者,都应尊称老师,十分感谢王老师!
作者回复:感谢支持,抽象是看清了事物的本质,大家一起进步
2020-08-04
开心哥
酣畅淋漓,学的痛快!感谢老师,快上新课😃😃
2020-08-31
小袁
值了。我在网上找了半天资料都没这个详细。
2021-06-21
1
罗罗诺亚.恩佐
这章讲的很好,评论区永远很精彩
2020-09-02
1
Neo
老师,您好,有2个疑问:
1. 在jwt.io网站上验证的时候,如果不输入密钥,返回invalid Signature, 但是header和payload信息依然可以正确显示。我的理解是,在生成header和payload部分的时候,是通过base64编码,没有进行加密处理。最后的签名是保证整个body在传输的过程中没有被篡改。那么是不是意味着使用JWT方式,信息的主体还是依然能被未授信的第三方获取到?
2. 您提到JWT的一个优势是资源服务器不需要依赖数据库存储相关的信息,从而易于横向扩容。但是密钥部分还是躲不过需要查询的,可能依然需要存储。另外,如果采取一个用户用一个密钥的方式,资源服务器如何知道某个JWT token是给哪个用户使用的?(用户信息包含在header or payload中?)
谢谢
作者回复:1、JWT肯定要加密传输,这点我们文中强调了,不做加密的结果就是你说的,加密用对称和非对称都可以,看实际需要,追求性能就是对称,可通过管理秘钥来对冲掉对称带来的相比非对称的弱化的那部分安全。
2、是的,用生成秘钥的方法,这是管理我们扔出去的JWT TOKEN的方式之一,如果只靠有效期当然也可以,但如果追求更进一步管理的话就需要做点额外的消耗。如果通过秘钥来管理,就需要一个秘钥管理系统,另外JWT肯定是要加密处理,而且加解密的重点不在于加解密算法,而在于秘钥管理,需要我们要把秘钥生成在独立于授权系统之外的秘钥管理系统里面,存储关系就是app_id+用户=秘钥,这里的用户就是TOKEN换取出来的。
2020-07-07
26
讲师
王新栋
京东资深架构师
编辑推荐
包含这门课的学习路径
Java工程师
29门课程 154.7w人学习
架构师
28门课程 151.9w人学习
看过的人还看了
